A intrusão combina um carregador .NET, persistência por tarefa agendada e o plugin Pheno para localizar dados sincronizados pelo aplicativo Phone Link sem comprometer diretamente o telefone da vítima.
| Componente | CloudZ RAT, plugin Pheno, aplicativo Microsoft Phone Link e banco SQLite usado para dados sincronizados do telefone no Windows 10 e Windows 11. |
| Vetor | Após acesso inicial ainda não determinado, o operador entrega um falso executável do ConnectWise ScreenConnect, executa um carregador .NET e usa Pheno para reconhecer processos e dados do Phone Link. |
| Impacto | Roubo condicionado de credenciais e possível acesso a mensagens SMS ou códigos de uso único sincronizados no computador, sem instalação de malware no dispositivo móvel. |
| Prioridade | Investigar endpoints com Phone Link pareado, revisar tarefas agendadas recentes, bloquear carregadores não autorizados e procurar acesso anômalo ao diretório de preparação C:\ProgramData\Microsoft\whealth\. |
| Artefatos | Falso ConnectWise ScreenConnect, script PowerShell embutido, carregador intermediário .NET, trojan modular CloudZ, plugin Pheno, comando savePlugin e instruções codificadas em Base64. |
| Mitigação | Remover persistência por tarefa agendada, isolar hosts com carregadores suspeitos, revogar sessões e credenciais acessadas a partir do computador comprometido e avaliar a necessidade operacional do pareamento pelo Phone Link. |
Uma intrusão ativa desde pelo menos janeiro de 2026 usa o CloudZ RAT como plataforma modular para roubo de credenciais e coleta de dados associados ao pareamento entre computador e telefone. O elemento mais relevante é o plugin Pheno, que não precisa infectar o aparelho móvel: ele se concentra no host Windows já comprometido e procura evidências de uso do Microsoft Phone Link. Quando o recurso está configurado, o Windows mantém dados sincronizados localmente para permitir chamadas, mensagens, notificações e outras interações entre o PC e o telefone. Esse desenho operacional cria um alvo de alto valor para malware em endpoint, porque informações originalmente recebidas no celular podem ficar acessíveis no computador dentro do contexto do usuário comprometido.
O caso mostra uma mudança importante no fluxo de roubo de autenticação multifator. Em vez de tentar controlar diretamente o Android ou o iPhone, o operador explora a confiança já estabelecida entre o dispositivo móvel e o PC. Se a vítima usa o Phone Link para receber SMS ou notificações no Windows, códigos de uso único podem aparecer ou ficar representados em dados sincronizados. O impacto depende de o aplicativo estar ativo, pareado e armazenando informações úteis no ambiente da vítima, mas o risco é concreto para estáções corporativas nas quais credenciais, sessões de navegador, clientes de acesso remoto e notificações de autenticação convivem no mesmo perfil de usuário. A atividade não foi atribuída a um grupo conhecido, e o método de acesso inicial permanece não confirmado.
A cadeia começa após um acesso inicial ainda não esclarecido. No host comprometido, o operador entrega um executável falso do ConnectWise ScreenConnect, usado como primeira etapa visível para baixar e executar um carregador .NET. Esse artefato inicial também contém um script PowerShell embutido que cria persistência por meio de tarefa agendada. Essa escolha permite reexecução do carregador sem depender de interação do usuário depois da primeira execução e fornece um ponto claro para investigação em endpoints Windows: criação recente de tarefas com comandos incomuns, caminhos fora do padrão, binários assinados de forma inconsistente ou execução de PowerShell associada a instaladores que não fazem parte do inventário de software aprovado.
O carregador intermediário executa verificações de hardware e ambiente antes de implantar o CloudZ RAT. Essas checagens são usadas para reduzir execução em ambientes de análise, automação ou instrumentação defensiva. Depois de iniciado, o trojan compilado em .NET descriptografa uma configuração embutida, estabelece uma conexão de soquete criptografada com o servidor de comando e controle e aguarda instruções codificadas em Base64. As capacidades descritas incluem exfiltração de credenciais e implantação de plugins adicionais. O comando savePlugin grava plugins no diretório de preparação C:\ProgramData\Microsoft\whealth\, que funciona como área local para módulos e resultados temporários.
O papel do Pheno é reconhecer a presença e a atividade do Phone Link no computador. O plugin monitora processos associados ao aplicativo, coleta dados de reconhecimento e grava a saída em um arquivo dentro da pasta de preparação. Em seguida, o CloudZ lê esse material e o envia para o C2. O ponto técnico central é o acesso ao arquivo de banco de dados SQLite utilizado pelo programa para armazenar dados sincronizados do telefone. Se esse banco contém mensagens, notificações ou metadados de comunicação que expõem códigos de uso único, o operador pode obter material suficiente para avançar em tomadas de conta, especialmente quando também possui senha, cookie de sessão ou credenciais coletadas por outros módulos.
A superfície principal é formada por estáções Windows 10 e Windows 11 nas quais o Phone Link está instalado, configurado e pareado com um telefone. O risco não se limita a usuários domésticos: em ambientes corporativos, administradores, desenvolvedores, operadores de suporte e equipes com acesso a painéis sensíveis podem usar sincronização de notificações por conveniência. Quando a mesma estáção armazena sessões de navegador, chaves de acesso a serviços internos, clientes de VPN ou ferramentas de administração remota, a coleta de mensagens e códigos recebidos pelo telefone amplia o alcance do comprometimento. A ameaça exige comprometimento prévio do PC; portanto, o Phone Link não é o vetor inicial, mas passa a ser um ativo explorável depois que o malware obtém execução no endpoint.
A exposição também depende de permissões locais e do contexto do usuário. Um malware executado com os privilégios do usuário comprometido pode procurar arquivos de perfil, bancos locais e processos do aplicativo sem necessariamente elevar privilégio no sistema. Caso a organização permita sincronização ampla de SMS e notificações, o conteúdo disponível para o Pheno será determinado pelo que o Phone Link armazena e pelo estado do pareamento. Ambientes que usam códigos por SMS como fator de autenticação ficam mais sensíveis, porque esse fator pode ser observado no mesmo endpoint onde a senha foi roubada. Organizações que usam notificações push, chaves resistentes a phishing ou autenticação vinculada a dispositivo reduzem parte desse impacto, embora ainda precisem tratar o host como comprometido.
- Estáções Windows 10 e Windows 11 com
Phone Linkpareado e dados móveis sincronizados no perfil do usuário. - Usuários que recebem SMS, notificações de autenticação ou mensagens contendo códigos de uso único no computador.
- Hosts com execução de falso
ConnectWise ScreenConnect, carregador.NETnão inventariado ou scriptsPowerShellembutidos. - Diretório de preparação
C:\ProgramData\Microsoft\whealth\contendo plugins, arquivos de saída ou dados intermediários do malware.
A investigação deve partir da hipótese de comprometimento do endpoint, não de falha isolada no telefone. Em EDR e logs do Windows, procure execução de binários nomeados como ConnectWise ScreenConnect fora dos caminhos esperados, processos .NET iniciados por instaladores não aprovados e PowerShell chamado com conteúdo embutido ou parâmetros que escondem a origem do script. Eventos de criação e alteração de tarefas agendadas são particularmente importantes, porque a persistência descrita depende desse mecanismo. A análise deve correlacionar a criação da tarefa, o primeiro contato de rede do carregador e a presença de módulos no diretório C:\ProgramData\Microsoft\whealth\.
A telemetria de aplicação deve incluir acesso incomum a arquivos SQLite associados ao Phone Link, principalmente quando o processo leitor não pertence ao aplicativo da Microsoft ou a rotinas administrativas conhecidas. Como não há domínio, endereço IP, hash ou nome de tarefa confirmado no material analisado, a detecção precisa combinar comportamento, caminho, árvore de processos e acesso a dados locais. Em rede, procure conexões de soquete persistentes ou recorrentes para destinos externos logo após a execução do carregador, especialmente quando o conteúdo é criptografado e não corresponde a tráfego de aplicações aprovadas. A presença de instruções em Base64 no fluxo do malware não significa que a rede mostrará Base64 em texto claro, mas artefatos locais e memória de processo podem revelar comandos decodificados durante análise forense.
- Criação de tarefa agendada seguida por execução de carregador
.NETa partir de caminho não padronizado. - Execução de
PowerShellpor binário que se apresenta comoConnectWise ScreenConnectsem relação com implantação legítima da ferramenta. - Gravação, leitura ou enumeração de arquivos em
C:\ProgramData\Microsoft\whealth\por processos sem justificativa operacional. - Acesso a bancos
SQLitedoPhone Linkpor processos diferentes dos componentes esperados do aplicativo. - Conexões externas criptografadas iniciadas logo após verificações de ambiente e carregamento de módulos adicionais.
A resposta deve isolar primeiro os hosts com sinais de CloudZ ou Pheno, porque o computador comprometido pode conter credenciais, sessões e dados sincronizados do telefone. Remova tarefas agendadas maliciosas, preserve cópias forenses dos binários e colete memória quando possível antes de erradicar o malware. Em seguida, revogue senhas e sessões usadas no período de exposição, com atenção especial a contas que receberam códigos por SMS ou notificações no Phone Link. A rotação deve considerar credenciais de navegador, clientes corporativos, repositórios, VPN, consoles de nuvem e ferramentas de acesso remoto usadas no endpoint. Se houver indício de leitura de mensagens ou notificações, trate autenticações aprovadas no mesmo intervalo como potencialmente suspeitas.
Como medida preventiva, revise a política de uso do Phone Link em máquinas corporativas. A desativação pode ser adequada para perfis de alto privilégio, estáções administrativas e ambientes nos quais SMS ainda é usado como fator de autenticação. Quando o recurso for necessário, reduza o escopo de sincronização, aplique controle de aplicações, monitore acesso aos bancos locais do aplicativo e exija fatores resistentes a phishing para contas críticas. Bloqueios de execução para carregadores .NET desconhecidos, inspeção de scripts PowerShell, controle de ferramentas de acesso remoto e alertas para diretórios de preparação incomuns reduzem a probabilidade de uma intrusão semelhante avançar até a coleta de dados móveis sincronizados. A validação final deve confirmar ausência de persistência, ausência de módulos no diretório usado pelo malware e inexistência de novos acessos anômalos ao Phone Link após a limpeza.
- Isolar endpoints suspeitos e preservar artefatos antes de remover binários, tarefas agendadas e plugins.
- Revogar credenciais, cookies de sessão e tokens usados no período em que o host esteve comprometido.
- Revisar ou bloquear
Phone Linkem contas privilegiadas e estáções administrativas. - Migrar contas críticas de OTP por SMS para fatores resistentes a phishing quando houver suporte.
- Criar detecções para
C:\ProgramData\Microsoft\whealth\, falsoConnectWise ScreenConnect, carregadores.NETnão autorizados e acesso anômalo a bancosSQLitedo aplicativo.
0 Comentários